PerfektBlue: vulnerabilità critica nel Bluetooth

Il settore automobilistico globale si trova ad affrontare una nuova minaccia informatica di proporzioni enormi che ha già colpito milioni di veicoli prodotti da decine di case automobilistiche internazionali. I ricercatori di PCA Cyber Security hanno scoperto una catena di vulnerabilità critica denominata “PerfektBlue”, capace di compromettere i sistemi Bluetooth dei veicoli moderni attraverso un attacco remoto che richiede al massimo un singolo clic da parte dell’utente.

La scoperta mette in luce come le interconnessioni tecnologiche moderne possano trasformarsi in vettori di attacco sofisticati, aprendo scenari preoccupanti per la sicurezza dei trasporti. La vulnerabilità sfrutta falle critiche presenti nel Blue SDK, lo stack Bluetooth sviluppato da OpenSynergy e integrato nei sistemi di infotainment di almeno 69 grandi aziende internazionali. Sebbene progettato principalmente per l’industria automobilistica, questo sistema si trova anche in telefoni cellulari e dispositivi portatili, rendendo PerfektBlue una minaccia trasversale che oltrepassa i confini settoriali.

Il ricercatore Mikhail Evdokimov, che ha originariamente identificato la catena di vulnerabilità, è riuscito a sviluppare una prova di concetto funzionante che dimostra come gli aggressori possano aggirare tutte le mitigazioni di sicurezza standard sui sistemi moderni. L’attacco sfrutta una combinazione di vulnerabilità di corruzione della memoria e falle logiche nel sistema Bluetooth, permettendo agli hacker di ottenere l’esecuzione remota di codice sui dispositivi target. La particolarità di PerfektBlue risiede nella sua capacità di operare “over-the-air”, richiedendo come unico prerequisito l’abbinamento con il dispositivo target a un livello di sicurezza sufficiente. Tuttavia, la natura modulare del BlueSDK fa sì che questo requisito vari a seconda dell’implementazione specifica: alcuni dispositivi possono limitare le richieste di pairing, richiedere interazione dell’utente o persino disabilitare completamente l’abbinamento.

PerfektBlue, le conseguenze per la sicurezza dei veicoli

Una volta ottenuto l’accesso al sistema IVI (in-vehicle-infotainment) del veicolo, un attaccante può potenzialmente tracciare le coordinate GPS, registrare e riprodurre audio all’interno dell’abitacolo, oltre ad accedere ai dati personali della rubrica telefonica. Sebbene su alcuni sistemi questi impatti possano richiedere un ulteriore step di escalation dei privilegi dal servizio Bluetooth all’utente root, le implicazioni rimangono estremamente serie per la privacy e la sicurezza degli occupanti.

Lo scenario più preoccupante emerso dalla ricerca riguarda la possibilità di movimento laterale verso altre ECU (Electronic Control Units) del veicolo. Un aggressore con accesso al sistema IVI potrebbe teoricamente tentare di compromettere elementi critici dell’auto come il volante, il clacson, i tergicristalli e altri componenti essenziali. Sebbene i ricercatori di PCA non abbiano raggiunto questo livello di accesso sui target vulnerabili a PerfektBlue, precedenti ricerche della stessa azienda hanno dimostrato la fattibilità di tali scenari utilizzando il Bluetooth IVI come punto di ingresso.

La scoperta è stata comunicata a OpenSynergy il 24 maggio 2024, seguendo le pratiche di responsible disclosure adottate da PCA Cyber Security. L’azienda ha prontamente riconosciuto e confermato le vulnerabilità, procedendo con il rilascio delle patch correttive nel settembre 2024. “OpenSynergy è stata notificata nel maggio 2024 da PCAutomotive riguardo a un paio di potenziali vulnerabilità denominate PerfektBlue nel Blue SDK”, ha dichiarato l’azienda sul proprio sito web, confermando l’applicazione delle correzioni e la fornitura delle relative patch ai clienti.

La complessità delle catene di fornitura

La gestione della comunicazione alle parti interessate ha rivelato le complessità delle moderne catene di fornitura nell’industria automobilistica. Nonostante OpenSynergy avesse l’intenzione di informare tutte le parti coinvolte, alcune case automobilistiche non sono state raggiunte tempestivamente dalle informazioni critiche.

PCA Cyber Security ha dovuto intervenire direttamente, notificando personalmente a Volkswagen/Skoda, Mercedes-Benz e una terza casa automobilistica non rivelata la presenza delle vulnerabilità nei loro prodotti. Ogni produttore ha ricevuto una descrizione ad alto livello dell’attacco, i numeri CVE riservati tramite MITRE e i materiali di conferma delle vulnerabilità specifici per i loro sistemi. Tutte le case automobilistiche contattate hanno confermato la presenza delle vulnerabilità nei loro prodotti, evidenziando l’ampiezza del problema.

La situazione si è complicata ulteriormente quando PCA ha confermato la presenza di PerfektBlue nei prodotti di un’altra casa automobilistica il 6 giugno 2025, scoprendo che questa azienda era completamente all’oscuro della minaccia nonostante fossero passati mesi dalla notifica iniziale a OpenSynergy. Per proteggere i consumatori da questa minaccia, PCA raccomanda di mantenere aggiornati i sistemi o, in alternativa, di disabilitare completamente la funzionalità Bluetooth. I produttori vengono invitati a verificare la presenza delle vulnerabilità nei loro prodotti attraverso le catene di fornitura e a consultare gli esperti di PCA Cyber Security per conferme specifiche e consulenza professionale sulla risoluzione dei problemi. Come sottolineato da Danila Parnishchev, responsabile del Security Assessment di PCA Cyber Security: “La nostra ricerca mira a scoprire e divulgare responsabilmente catene di attacco sofisticate che prendono di mira le moderne tecnologie automobilistiche, contribuendo a una mentalità di sicurezza più proattiva in tutto il settore”.